podcast - #セキュリティのアレ

【関連記事】

・Crypto platform Poly Network suspends service after hacker steals millions of dollars in digital assets
・Poly Network Incident Analysis – Blog – Web3 Security Leaderboard
・ランサムウエアによる名古屋港のシステム障害についてまとめてみた – piyolog
・You’ve been kept in the dark (web): exposing Qilin’s RaaS program | Group-IB Blog
・MOROHAjp – YouTube

辻伸弘メモ：

Evernoteどうするー？依存しないための備え大事。火のないところに？グッズ買ってた。三人ともステッカー持っておくようにしておきます。どこでした話？Twitterもどうする？爪のSNS。RSS最強説。実はそれほど影響していないんです。人はなぜ管理インターフェイスを公開してしまうのか。もしかして：No Reason。まずはnmap使えるようになろう！Shodanだけじゃない。こちらから見えないものもある。何を言ってるか分からないポッドキャスト。話すところで伝え方を変えている。仮想通貨の世界で手軽に両替する仕組みが攻撃された。とんでもない金額が被害額とされているのだが。この類い初めてではない。意外と知らないところで増えているパターン。当事者感ありますゆえ。事件による価値への影響。中央集権のデメリット。5大港へランサムウェア。なぜ止ったのか。バックアップにも影響があったようだが2日半で復旧。物理的な影響はクリティカルではなかったっぽい。関心はありますとも！他と比較すると被害内容の割に要してないように思う。麒麟のほうのキリン。潜入した人がいるそうで。リンクが入ったメールが初期アクセス。勢いはそれほどでもないグループ。被害組織の業種、所在地もそれほど傾向はないように見える。Timezoneって聞いたり言ったりするとどうしても忍者思い出す。Haiseって東京喰種由来？アフィリエイトを増やしたいのか割がいい設定。リークサイト掲載時の説明はアフィリエイトに大きく依存するように見える。アフィリエイトが単独とは限らないってことですね。「これぞ！日本の！」と思ったグループ。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:27 |
| 3 | (N) Poly Network への攻撃 | 21:39 |
| 4 | (P) ランサムウエアによる名古屋港のシステム障害 | 35:58 |
| 5 | (T) Qilin ランサムウェアの活動 | 47:38 |
| 6 | オススメのアレ | 61:31 |

収録日: 2023年07月08日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会 – NISC
・podcast – #セキュリティのアレ – LISTEN
・Binding Operational Directive 23-02 | CISA
・Binding Operational Directive 23-02 Implementation Guidance | CISA
・Identifying CISA BOD 23-02 Internet-Exposed Networked Management Interfaces with Censys – Censys
・The tech flaw that lets hackers control surveillance cameras – BBC News
・Letter-to-partners-BBC-Broadcast-26.06.23.pdf
・BBC Investigates PRC China Surveillance, Hikvision Protests
・Introducing Proton Pass – Protecting your passwords and online identity | Proton
・The Proton Pass security model | Proton
・「春木屋」中華そば 2食｜中華めん｜家庭用チルド商品カタログ｜商品情報｜シマダヤ株式会社

辻伸弘メモ：

Ever FreeとPoisonの関係の謎が解明されました。今年の事故対応アワード。10年見えてきた。年齢と言えば。こんな日に収録する気持ち。文字起こしに対応。ご愛敬もあるけどかなりの精度。水星の魔女の見方。日本語に聞こえないポッドキャスト。支援士合格おめでとうございます！帯コメントやってみたいなぁ。BOD 23-02。R系サービスって久々に口にした。出すなよ。出すなよ。絶対出すなよ。管理セグメントって用意してない組織結構あるイメージ。CISAのアクションを読み替えて。Censysの調査で色々見つかったそうです。VPN経由は許可されている。見つかったけど誰の管理で何をしているのかが分からないといけないですね。目指す形に促しているのかも。一緒に汗をかこう。カメラが外部からハッキングできないかという調査報道。まさにテレビ的な演出もありつつ。政府機関向けには中国製は禁止されていたはず。具体的な指摘をしていないのはフェアじゃないですね。製品のサポートの問題と運用側の問題は切り分けないといけないと思いました。ソムリエのコメント。情報の構成次第で。新たなパスワード管理ソフトがリリースされました。Hide My ○○○。メールアドレスを扱えるならではのサービス。有償のものと比べどうでしょ。今までで一番美味しかったしょうゆラーメン。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 09:38 |
| 3 | (T) BOD 23-02 と Censys の調査結果 | 16:34 |
| 4 | (P) 中国製監視カメラのセキュリティ | 34:50 |
| 5 | (N) Proton Pass の紹介 | 45:52 |
| 6 | オススメのアレ | 58:10 |

収録日: 2023年07月01日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Compromised Domains account for over 50% of Embedded URLs in Malware Phishing Campaigns | Cofense
・#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability | CISA
・Clop ransomware claims responsibility for MOVEit extortion attacks
・MOVEit Transfer and MOVEit Cloud Vulnerability
・MOVEit Transfer Critical Vulnerability (May 2023) (CVE-2023-34362) – Progress Community
・Binding Operational Directive 23-02 | CISA
・高齢社会白書について – 内閣府
・アイナ・ジ・エンド / Red:birthmark [Official Music Video]（TVアニメ『機動戦士ガンダム 水星の魔女』Season2 ED） – YouTube

辻伸弘メモ：

足の裏を拭く季節。Spotifyの怪。ベランダリクエスト。親子二代のファン。それぞれの夏の思い出。アレがとうございます。マルウェア感染を狙うほうのフィッシングメールの3つの分類。安定人気.com。レポート掲載の攻撃が自分のところに来るかどうか。ゲートウェイ製品の限界とチューニング。1つのフィルタとして考えて運用によってこぼれるものを何で拾うか。CL0Pランサムギャングのゼロデイ悪用の話。時系列で見ていこう。休日狙い？脆弱性を悪用してWebシェル設置。目立った被害組織業種とは。注意喚起にある対策の具体性。不十分な対策にならないように。何もなかったことの証明。BOD 23-02の話。他とは違う気持ち悪さ。変わり種が常かも。インターネットで調べたことありますか。今後の高齢化社会に向けて考えないといけないこと。様々なアプローチが必要そうやなぁ。今月解散予定でした。日常が混ざり合い過ぎててどこで何を話したかが分からんくなってますな。エンディングがWANDSの「世界が終わるまでは…」でした。「君が好きだと叫びたい」はBAADでした。DEENはありませんでした。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:09 |
| 3 | (N) マルウェアフィッシングメールで使われる URL のドメイン | 13:33 |
| 4 | (T) MOVEit Transfer の脆弱性を悪用する CL0P ランサムウェアグループ | 25:53 |
| 5 | (P) 高齢社会白書から見えるコミュニケーションの変化 | 44:29 |
| 6 | オススメのアレ | 57:28 |

収録日: 2023年06月24日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・UstToday LiveCh – YouTube
・「ランサムウェアの現状 2023 年版」を公開 – Sophos News
・Google Workspace Updates: Simplify and strengthen sign-in by enabling passkeys for your users, available now in open beta
・Save and Sign In with Passkeys Using 1Password In the Browser | 1Password
・Passkeys, iOS 17, and 1Password: A Sneak Peek at What’s Coming | 1Password
・【重要なお知らせ】不正アクセスによるお客様の個人情報流出の可能性と、フィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ | ホテルグランヴィア大阪
・【重要なお知らせ】 フィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ（御宿 野乃 大阪淀屋橋）
・【重要】お客様へのお願い-フィッシングメールに関する注意喚起
・癒し職人シリーズ | 株式会社ワイマック ジュエル・コスメティックス

辻伸弘メモ：

まるごとバナナミニはまるごとなのか。「か？」のパターン。根岸さんは買うのか？アレを。ネーミングライツしたんですよ。どこで何の話したのか覚えてない。ひまわりの種の話。ひまわりミニだ。もやもやする使える文字列・長。アレ勢といえばアレ勢。Anonymousみたいなもん。試験対策にもいいポッドキャスト？ちょっといいやつもプレゼントしたい！広く捉えたランサム。感覚と集計のギャップ。全体というよりは国それぞれ、ギャングそれぞれの影響が出やすいのかもしれない。同じ脆弱性の悪用でも理由が異なる。復元の他の手段とは。払った方が損するかどうかと言われると単純比較できないと思うんですよ。特定のサービスではパスワードレスにならないものもある。我らが（？）1Passwordが対応。プラットフォームの垣根を越える予定っぽい。指キー・顔キー。一網打尽にされないために注意。漏洩すること前提に怯えることが終わる世界。人は忘れることで生きていける。随分昔に泊まったことあるかも。長いリリースタイトル。顧客とのやりとりをするチャットという経路。続いてはいなかったけど潜伏もあるかもしれない。さすがの違和感と気付き。ジャパネットアレ。ミニからの耳。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 12:11 |
| 3 | (T) ランサムウェアの現状レポート | 16:17 |
| 4 | (N) Google Workspace が Passkeys に対応 | 34:09 |
| 5 | (N) 1Passowrd がベータ版のブラウザ拡張で Passkeys に対応 | 35:54 |
| 6 | (P) 個人情報流出とフィッシングサイトへの誘導 | 43:31 |
| 7 | オススメのアレ | 56:44 |
 

収録日: 2023年06月12日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・2023-05-31 // SITUATIONAL AWARENESS // Spyboy Defense Evasion Tool Advertised Online : r/crowdstrike
・Terminator antivirus killer is a vulnerable Windows driver in disguise
・‘AuKill’ EDR killer malware abuses Process Explorer driver – Sophos News
・Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse – Sophos News
・「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました （METI/経済産業省）
・Binding Operational Directive 23-01 | CISA
・The New DarkWeb Forum: ExposedVC Forums
・New hacking forum leaks data of 478,000 RaidForums members
・個人情報の流出に関するお知らせとお詫び
・大量千切りキャベツにおすすめ2枚刃ピーラー『キャベピィMAX』｜ののじ公式サイト｜ののじ公式サイト

辻伸弘メモ：

収録始まるまでが大変でした。ちょっとボクの音声があまりよくないです。デバイストラブルはいつも辻。高校生のときの初PC。外付けCDROMドライブが10個。ITmediaで「つもり」をテーマにお話してきました。おすすめされてへんセッション。そんな毒出てる？ででんでんででん。EDRなどを止める攻撃。とはいえいくつかの条件がある。検知を期待していたら。昔からあるけれど見落としがちな観点かもしれない。想定する攻撃のシナリオとして○○されたらと少し不利な条件で考えてみるのもいいと思います。経産省のASM導入ガイド。定義の理解大事。用いる手法についても自分の理解と照らし合わせてみるといいかも。ヒューマンスキルのところポイントだと思いました。調査する際のIPアドレスはどういうものを使うのか。やっちまったぜセミナー風。これまであまりやってこれていなかったところはどこかを意識。名前が付いたことで広まるということもある。新しく何かを買わないといけないと思い込まないでくださいね。新しいフォーラムの話。公開されてしまった情報についての触り方は難しいですね。新しいフォーラムはポイント稼ぎで若干カオスな感じもある。見る必要があるのかないのか。ないなら見ないにこしたことはないですね。ふぅわーしたらできるんですよ。アレ勢の中には、持ってる勢がすでにいるかも。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 04:30 |
| 3 | (N) EDR を回避する攻撃ツールと BYOVD | 08:44 |
| 4 | (T) ASM 導入ガイダンス | 21:17 |
| 5 | (P) 新たなハッキングフォーラムと最近のリーク事情 | 38:09 |
| 6 | オススメのアレ | 52:15 |
 

収録日: 2023年06月03日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・TECH+ セキュリティ – 専門家とベンダーの対話 第12回運用現場の選択肢｜2023-06-09｜ITセミナー・製品情報
・Pentagon explosion tweet was a hoax. Still, it went viral. – The Washington Post
・Hacked AP Twitter feed reporting fake White House attack rocks markets | Ars Technica
・Google Japan Blog: 無効な Google アカウントに関するポリシーを更新しました
・アカウント無効化管理ツールについて – Google アカウント ヘルプ
・長期間ご利用がないYahoo! JAPAN IDの利用を停止します。
・#StopRansomware: BianLian Ransomware Group | CISA
・Decrypted: BianLian Ransomware – Avast Threat Labs
・【科学ホラーミステリー】変なAI | オモコロ
・【科学ホラーミステリー】変なAI – YouTube

辻伸弘メモ：

あまりない形のセミナー。やり続けることって大事やな。変わらない良さ。毒にも薬にもならんようにはなるな。いつも一時間で終わろうと思って始めてる。なんだかんだで三人とも喋るの好きなんですよ。きっと。案件ではございませんがやってはみたい。場合によっては対価なくてもいいんですよね。自分の取り組んでいることの価値を客観的に見る方法としての外部活動。ネガティブの重なりは避けてバランスに気をつけている。拡散された偽画像の影響。因果関係は分からないけど相関はあるかなくらい。判断の難しさ。フェイク情報拡散ツイートへの反応と公式アカウントの投稿への反応の非対称性。騙されないようにするのもプラットフォームにも期待もできない。ある種の自浄作用が必要。10年前のSEAが起こした事件を思い出した。直接ではないpart2。2年間使ってないアカウントを削除。放置アカウントは侵害のリスクが高い。コストもかかる。放置アカウントに通知が来ても見ないので。攻撃者がデポジット。Yahooは3年から2年に変えたんでしたね。停止後の再利用問題。使わないけどとっときたい心理。コメコメで出すときがある。アメリカにおいては病院関係が多いグループ。RDPが主なイニシャルアクセス。今年の1月に何があったのか。情報窃取での脅迫の結果-CL0P編を参考にしてみると。手段としては弱いかもしれないけど、コスト面などもある悪い点だけではないと考えられる。脅迫が成功しなくてもいいパターン。バックアップだけではないと面で捉えた注意喚起をしていきたい。火消しの件。変な○○。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:54 |
| 3 | (P) 偽画像の SNS での拡散騒動 | 17:01 |
| 4 | (N) Google が無効なアカウントに関するポリシーを変更 | 31:50 |
| 5 | (T) BianLian ランサムウェアの活動 | 46:18 |
| 6 | オススメのアレ | 61:05 |

収録日: 2023年05月27日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・公文書(電子データ)の消失事故について(第2報) – 新潟県ホームページ
・新潟県から受託した公文書管理システムに係る電子データの消失事故について（続報） | 富士電機ITソリューション株式会社
・Deconstructing a Cybersecurity Event | Dragos
・当社首掛けストラップの紛失について – ニュース｜中部電力パワーグリッド
・Is Your Cybersecurity Strategy Falling Victim to These 6 Common Pitfalls? | NIST
・80g THEひとつまみ えび黒胡椒 | おせんべい、あられ、おかきの岩塚製菓株式会社

辻伸弘メモ：

雑談何しょーかな。反則5カウントの凄さ。実質反則にならないグーパンチ。最近資料作成にまみれがち。せこう、しこう。データ化することにもきちんと準備がいる。やっぱり紙やんってなるかもしれない。KaliLinuxが成長したみたいなロゴ。入社予定の社員への初手。おそらく入社が決まる前にたまたま。攻撃の目的はことごとく阻んだ。外部との連携も上手くいっていた。諦めない攻撃者。自ら公開したことが功を奏している。とはいえ備えがあったことで被害を最小限に抑えられていたからこそのスピード感。一風変わったリリース。首かけストラップ案件。紛失することで自分たちではなく、外部に被害が発生する可能性があるからですね。写真出す必要あったのかな。見つけてもらうときのため？厳密な管理してるのかもしれない。ロゴなしというのもアリなんじゃないか。識別は色で。アホやないんやで。テクノロジーと人のバランス。大事なんだけどついつい見落としがち。これこそ別でやってくれ。ユーザはパートナー。社内でセキュリティと開発が敵対関係になっていたことをどう改善したのか。正しいが故に攻撃的になることもありそう。事実は正しくても伝え方が正しくないかもしれないと考える。実施できないルールはそのルールが間違っていることを疑わないとですよね。もらって食べて、注文して、次の日到着。万歳山椒。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 03:37 |
| 3 | (N) Dragos 社のちょっと変わったインシデント事案 | 09:25 |
| 4 | (P) 首掛けストラップの紛失事案 | 27:02 |
| 5 | (T) Users are not stupid | 37:33 |
| 6 | オススメのアレ | 54:15 |

収録日: 2023年05月13日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・FortiMailを侵入経路としたインシデントについての事例紹介
・公文書管理システムの大量ファイル消失事故についてまとめてみた – piyolog
・Passkeys: What they are and how to use them
・Prime Video: 風雲！たけし城 – シーズン１

辻伸弘メモ：

GWは五連休のイメージ強い。学生気分が抜けてない。大型連休は寂しい。見ない方がいい情報もある。重要視する情報は受け取った立場によって違う。リハビリ回。かなりアカンすんでのところでの検知がスタート。FortiMailから来ていた。経由？消えているログ。規則性崩れ。フィールドの異常値。NW機器内で色々されている。攻撃が観測されていなかったり、攻撃コードがないけれどもの対応姿勢。検知・特定に至るための準備。内部to内部ズブズブ問題。ファイル消失事案。バックアップ期間が3日（合意）。削除する側ではなく、マクロ側のほうで対応した方が楽で安全だったように思うんだけれども。どうしておけばよかっただけではなく、自分たちならと考えるのがいいかも。パスワードデイなのにパスワードの話はしない。パスキーの話です。2つの注意点。パスワードレスが自動的に有効になる。ビルトインセキュリティキーが無効になりパスキーに置き換わる。ファイナルアンサーの見極め。34年ぶりに復活のアレ。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:25 |
| 3 | (T) FortiMailを侵入経路としたインシデント事例 | 09:09 |
| 4 | (P) 公文書管理システムの大量ファイル消失事故 | 25:13 |
| 5 | (N) Google アカウントが Passkeys に対応 | 40:37 |
| 6 | オススメのアレ | 54:40 |

収録日: 2023年05月07日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Microsoft shifts to a new threat actor naming taxonomy – Microsoft Security Blog
・Groups | MITRE ATT&CK®
・Mandiant Security Update – Initial Intrusion Vector | 3CX
・3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible | Mandiant
・X_Trader Supply Chain Attack Affects Critical Infrastructure Organizations in U.S. and Europe | Symantec Enterprise Blogs
・Discarded, not destroyed: Old routers reveal corporate secrets | WeLiveSecurity

辻伸弘メモ：

今週はスタンド攻撃受けてるのか思った。もうすぐGWですね。Re:4のクリアは3回ではなく4回でした。長期休暇にやること。メンテ大事。先手先手のアレ。セキュリティ怪談師。マイナスをゼロにというイメージの払拭。お便りで気付いた観点。具体案を示さないといけないですね。既に攻撃されている可能性の考慮から早期に気付ける仕組みの再確認かな。アクターの命名を変更。クラウドストライクに近い感じ。各社バラバラ名称は減らしてほしい。マルウェアの名前バラバラ問題もある中、EmotetはEmotetになっちゃってますね。IPAもそう呼んでる。別名としてはGeodo、Mealybugがあります。続報いいですよね。以前の3CXの初手と思われる原因が判明してきた。サプライチェーン攻撃の向こう側に更に。またも個人端末が媒介。控えめに言ってこのアクター。これは縦展開やな。個人のコンピュータに狙いを定めている攻撃も見過ごせないという教訓ですね。棚からVPN。チェーンチェーンチェーン。廃棄されたネットワーク機器。フォレンジック血祭り。どれくらい現実的か。攻撃者からするとガチャ？誰でも加担できるというのは割と怖い。めちゃめちゃ冷える。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 03:52 |
| 3 | (P) Microsoft による脅威アクターの命名規則 | 11:42 |
| 4 | (N) 3CX 事件の続報 | 26:49 |
| 5 | (T) 廃棄されたネットワーク機器に残る情報 | 41:01 |
| 6 | オススメのアレ | 54:27 |

収録日: 2023年04月22日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Ransomware attack that forced a New York county back to pen and paper began in 2021, official says
・改ざんされたWebサイトからGoogle Chromeの偽エラー画面を使ってマルウェアを配布する攻撃キャンペーンについて, Rintaro Koike
・Hacker Stole My Phone, Credit Card, Identity. I Set Out to Find Them.
・Multiple U.S. Postal Service Employees And Others Arrested For $1.3 Million Fraud And Identity Theft Scheme | USAO-SDNY | Department of Justice
・公式通販サイト「おうちでのみもの。」 / TOPページ

辻伸弘メモ：

溢れている略語。そんな滑舌悪い？適当で当たる。最高生命保険ってあるんかい。普段の話でしたのかポッドキャストでしたのか分からなくなるときがある。そんなイメージあるのかぁ。デバイスごとの使用割合。思っているより使っているかもしれない説。弱いけどそれくらいしか示せない。製品によっては観点を変えれば効果の示し方があるのではなかろうか。たぶん久しぶり。BlackCat事案。少し前の事案だけど会見があったので紹介。初期アクセスから実被害まで8ヶ月。マイニングツールがあったということも考慮すると。パッチを当てるまでもかなりの時間があった。パッチ適用時には侵害を受けていることを考慮しないといけない問題。いまだにそんなんあんのんかは大体ある。身代金と復旧費用の対比。色々な偽があるけど今日はエラー画面。落ちてくるのはマイニングツール。ほりほり。手口は真似られる。どう注意喚起するのが分かりやすいか。割に合うのか合わないのか。一旦マイニング。売り手が現れるまでマイニングしておくとかってケースあるんかなぁ。SIMスワップされたある記者の体験談。不審なレシート。グッチよりアップルにお金落としてた。物理で被害が起きている。お宮入りしかけたその時！この犯罪の手口のはじまりは意外にも！サイコバニーが1番助けてくれた。狙われた理由が見当違いだった。本人確認の在り方を考え直さないといけなくなってきてるかも。店舗の味そのままに。味はスベってません。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:11 |
| 3 | (T) ニューヨーク州で起きたランサムウェア事案を振り返る | 14:30 |
| 4 | (P) Chrome の偽エラー画面からのマルウェア配布 | 30:59 |
| 5 | (N) SIM スワップだけじゃなかった事案 | 41:22 |
| 6 | オススメのアレ | 62:40 |

収録日: 2023年04月16日

Podcast: Play in new window | Download

Subscribe: RSS